近日，安天CERT（安全研究与应急处理中心）发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器，记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今，Agent Tesla的开发者为其添加了更多的功能，使其从一个简单的键盘记录器变成了一个具有多种功能的商业键盘记录器。Agent Tesla会监控并收集受害者的键盘输入、剪贴板内容、屏幕截图信息以及受害主机上已安装的各种软件的凭据并采用HTTP POST的方式回传数据。当前，Agent Tesla已在互联网上贩卖，有被滥用的风险和趋势。

随着虚拟货币被疯狂炒作，伴随而来的是疯狂的“挖矿”行为。“挖矿”方式有两种：一种是solo式（直接连入中心网络工作），产出收益均归自己所有；另一种是连入矿池，收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定，所以恶意“挖矿”会选择这种方式。“挖矿”的本质是计算符合条件的hash值并返回，采用的方式为爆破式计算，主要特征表现为消耗主机资源，浪费用户电量。

2018年2月28日，安天发布了《GandCrab勒索软件着眼“达世币”，安天智甲有效防护》一文，随后国外安全公司与警方获取了GandCrab勒索软件的C&C服务器访问权，因此一些被加密的文件得以解密。

安天在梳理网络安全事件时注意到针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex，其最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现，恶意代码使用Visual Basic 6.0（VB6）编写，代码中夹杂着“Ol?Jos?Boa tarde”等葡萄牙语，攻击者伪造并替换ATM应用程序屏幕，等待受害者输入密码，获取受害者密码信息后，将密码等数据回传到攻击者的远端服务器。

安天在近期捕获的样本中发现了一种利用CHM传播的银行木马，该银行木马来源于一种垃圾邮件传播的附件中。当用户收到这种垃圾邮件并打开附件中的CHM文件时，恶意软件就会执行一个小的PowerShell命令，其下载并执行第二阶段的PowerShell脚本，当用户执行脚本时，会创建一个计划任务来运行恶意软件，从而获得持久性。

近日，一款勒索达世币（DASH）的勒索软件GandCrab被发现，其为首个勒索比特币以外的虚拟货币的勒索软件，安天安全研究与应急处理中心（安天CERT）迅速对其展开分析。

GlobeImposter家族在2017年5月份被首次发现，目前发现的样本没有内网传播功能，一般使用包含混淆的JaveScript脚本的垃圾邮件进行传播，加密用户文件并勒索比特币。此次发现的样本为GlobeImposter家族的最新变种，其加密文件使用.CHAK扩展名，取消了勒索付款的比特币钱包地址及回传信息的“洋葱”网络地址，而是通过邮件来告知受害者付款方式，使其获利更加容易方便。

早在2014年，由国内电子厂商生产的一系列名为NetCore的路由器产品就已经被有关安全研究员披露有高权限的后门存在，该后门可能会影响全球大约300万台NetCore系列路由器等设备。此次53413/UDP后门被国外物联网僵尸网络Gafgyt家族再次利用，可见目前互联网上还存在大量有该后门的路由器设备，而这些设备很大可能被作为高危的潜在“肉鸡”。结合目前关联捕获的Gafgyt样本分析，发现其Tel/SSH扫描爆破的IP网段重点分布在越南（占比33.04%）、中国（占比26.08%）以及其他亚洲国家（占比17.82%），其地理位置与NetCore产品的主要销售对象重合度很大。通过安天捕风蜜网系统单日捕获的流量和云堤关联流量分析识别，全国有33230台“肉鸡”在线尝试与指定Gafgyt家族僵尸网络C2连接。

本年度报告主要以安天捕风蜜网和电信云堤流量监测数据为基础，针对2017年发生的僵尸网络DDoS（分布式拒绝服务）攻击事件进行汇总分析。报告给出了2017年全球范围内僵尸网络发起DDoS攻击的事件分布、地区分布情况以及攻击情报数据，并对黑客的攻击方法、攻击资源、僵尸网络家族进行了详细分析。 从整体的攻击情报数据来看，全球DDoS僵尸网络全年攻击态势呈“山”形，其主要爆发在第二季度的4、5、6三个月；在比特币交易价格处于暴涨期间，大部分DDoS僵尸网络被更换为挖矿僵尸网络，所以第四季度则处于相对低迷的阶段。

在安天1月4日和1月5日分别就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》之后，有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题，针对此类形成了本FAQ。

操作系统的内核数据是受到CPU微结构保护的，用户模式的应用程序无法访问，如果访问是要引发CPU错误异常的。 构造一个分支，先检测读取内存的地址是否合法，合法就读取相应地址内存字节，然后根据内存字节的值，让内存字节的值与映射到不同Cache块的内存块对应起来，再故意读取一下映射到不同Cache块的内存块；如果访问内存的地址非法，例如操作系统内核数据地址，直接不读取。显然，这样的分支，无论读取合法地址还是非法地址都是不会出错的。用大循环执行多次这个分支，前若干次，读取内存地址都是合法的，“训练”CPU的分支预测，让CPU微结构认为下次也应该走向读取内存这一分支。然后，突然执行一次非法的操作系统内核数据地址读取。

该漏洞是一个足以动摇全球云计算基础设施根基的漏洞，其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者，都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据，而这种攻击对现有虚拟化节点的防御机制是无法感知的。同时由于该漏洞的机理，导致其存在各种操作系统平台的攻击方式，因此尽管这一漏洞本身只能读取数据，不能修改数据，但由于其获取的数据中有可能包括口令、证书和其他关键数据，包括能够完整Dump内存镜像，因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。尽管当前全球主要云服务商均在积极应对这一漏洞的影响，但鉴于这些云服务体系的庞大而复杂，以及大面积补丁本身所面临的复杂度和风险，漏洞利用POC已经发布并验证成功，因此这次漏洞修补已经成为一场时间赛跑。在这个过程中，攻击者所获取到的数据，将会沉淀出对于关键数据和隐私泄露、登陆凭证被窃取导致连锁攻击等次生灾害。

在过去五年间，中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中，安天此前称之为“白象”（White Elephant）的组织最为活跃，从2012年到2013年，安天陆续捕获了该攻击组织的多次载荷投放，并在2014年4月的《中国计算机学会通讯》和9月的中国互联网安全大会对此事件进行了披露，同年8月，安天形成报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》，在后续的分析中将此次攻击命名为“白象一代”。2015年年底，安天发现“白象”组织进一步活跃，并于2016年7月释放了储备报告《白象的舞步——来自南亚次大陆的网络攻击》，披露了“白象”组织的第二波攻击“白象二代”。而此时“白象二代”的主要攻击方向已经由巴基斯坦转向中国，并且相较之前的攻击能力有了大幅提高，其攻击手段和影响范围也远大于“白象一代”。在“白象”组织被广泛曝光后的一段时间内，似乎偃旗息鼓，但到今年下半年，该组织再次活跃，而其相关行动是在经历了数个月准备后实施的。从我们掌握的信息来看，“白象”并不是某国唯一的攻击组织和行动，包括“阿克斯”（Arx）组织、“女神”（Shakti）行动及“苦酒”（BITTER）行动，同样与之有关。这些组织和行动，具有相似的线索和特点，并且其中大部分攻击目标为中国。我们将这一系列网络攻击组织和行动称为——“象群”。

KRACK漏洞利用主要针对WPA/WPA2的四次握手过程，没有利用AP接入点，而是针对客户端的攻击。因此，用户的路由器可能不需要更新。对于普通家庭用户，应多关注各终端设备厂商的安全公告，及时更新配置或打补丁，优先更新笔记本电脑和智能手机等客户端。 对该漏洞的利用并没有破坏密码体系本身，而是对实现过程进行了攻击，因此基本可以绕过所有的安全监控设备。利用该漏洞能够在一个良好实现的网络环境中，通过良好实现的WiFi打开攻击面，为后续攻击打开通路。

近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Windows SMB Server远程代码执行漏洞（CNVD-2017-29681，对应CVE-2017-11780）。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码，如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况，该漏洞影响版本范围跨度大，一旦漏洞细节披露，将造成极为广泛的攻击威胁，或可诱发APT攻击，安天提醒用户警惕出现“WannaCry”蠕虫翻版，建议根据本手册中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。

使用蓝牙通信协议的设备数量随着物联网时代的开启日益增多。近期，物联安全公司Armis Labs纰漏了一个攻击向量BlueBorne，称攻击者可利用一系列与蓝牙相关的安全漏洞，在一定场景下可实现对具有蓝牙功能的远端设备的控制，进而窃取受害者数据、进行中间人攻击以及在感染一个设备后蠕虫式感染其它设备，且此攻击方式无需向用户申请认证授权，具有较大的危害性。为此，安天微电子与嵌入式安全实验室和安天移动安全公司两部门组成联合分析小组，认真剖析了整个攻击流程并做出威胁总结。

2017年7月30日，安天安全研究与应急处理中心（Antiy CERT）的工程师发现一种具备拒绝服务（DoS）攻击能力的新型木马。经初步分析，安天CERT工程师认为该木马属于一个新家族，并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据，发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

安天安全研究与应急处理中心（Antiy CERT）于北京时间2017年6月27日21时许关注到乌克兰银行等相关机构包括、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后，初步判断受影响最严重的国家是乌克兰（副总理Pavlo Rozenko、国家储蓄银行（Oschadbank）、Privatbank等银行、国家邮政（UkrPoshta）、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo），其他部分国家均受到不同程度的影响，包括俄罗斯（俄罗斯石油公司（Rosneft））、西班牙、法国、英国、丹麦、印度、美国（律师事务所DLA Piper）等国家。

在安天发布蠕虫勒索软件免疫工具（WannaCry）后，有大量用户就专杀工具提出问题，我们选择了其中的高频问题，形成了本FAQ。我们会继续跟进网友的问题。

安天安全研究与应急处理中心（Antiy CERT）在北京时间5月26日19点，监测到中国发生了一次大规模的DDoS攻击事件。参与攻击的源地址覆盖广泛，几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现，其恶意代码感染量较大，并且其恶意代码的功能非常复杂，利用带有正常数字签名的文件进行传播，同时具有下载文件执行、刷流量、DDoS攻击等行为。

在面对各种严峻的安全风险时，除了通过有效的安全设计和使用安全产品形成防御能力之外，我们必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户，有可能不能实施全面的系统的补丁策略，同时实时获取补丁的方法一定程度上受到网络隔离的相应影响或限制，因此，可能需要采用对严重漏洞进行单点补丁的策略。微软补丁包机制是不安装基础补丁包则无法安装后续的部分补丁。因此安天建议普通的桌面系统和不重要的服务系统在内部无法安装在线补丁的情况下，先安装基础补丁包，然后再安装无法安装的补丁包。因为基础补丁包体积较大，一旦出现大型的安全事故，由于大量用户进行下载，可能造成下载不成功的情况，因此希望网络管理员提前储备基础补丁包及重要补丁包。

WannaCry勒索者蠕虫爆发以来，网上存在着很多的“误解”和“谣传”，也包括一些不够深入的错误分析。其中有的分析认为“WannaCry的支付链接是为硬编码的固定比特币地址，受害者无法提交标识信息给攻击者，其勒索功能并不能构成勒索的业务闭环。”安天安全研究与应急处理中心（Antiy CERT）经分析认为经分析猜测上述错误的分析结论可能是因为分析环境TOR（暗网）地址不能正常访问引起的。如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付。

同时我们需要注意，抹掉开关域名的样本，原则上不受当前开关灭活机制的控制，应该有更大的传播面积（但事实上，业内并未监控到其大面积传播）。修改者选择了一个实际不能完成加密勒索的版本来修改，这是巧合还是偶然，是值得思考的。修订者究竟是希望造成更大面积的传播，还是因其他原因修改样本，甚至只是为了证明这个样本的存在，目前还很难判断动机。同时，我们也需要思考和警惕的是：正如我们在安天2016基础威胁年报中所指出的那样，“威胁情报也是情报威胁”。类似Virustotal多引擎扫描等威胁情报来源，构成了能够精准分发“样本”到全球所有主要安全厂商的通道，他们即是重要的威胁来源，但也是一个信息干扰与反干扰的斗争舞台。?

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后，陆续有用户提出问题，我们形成了第三版本FAQ。并对其中一些传言进行了解释。

安天防勒索解决方案
下载地址： http://www.www.ahrqys.com/response/wannacry/Antiy_Wannacry_Solution.pdf

蠕虫勒索软件专杀工具（WannaCry）--Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除，但无法恢复已经被加密的文件。
下载地址： http://www.www.ahrqys.com/response/wannacry/ATScanner.zip

蠕虫勒索软件免疫工具（WannaCry）-- 本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能，能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件，但不能阻断WannaCry在本机上的运行。
下载地址： http://www.www.ahrqys.com/response/wannacry/Vaccine_for_wannacry.zip

在周末两天，各大安全厂商和新闻媒体频繁报道“WannaCry” 勒索软件事件，听起来很恐怖。如果您的机器周末处于关机状态，那很庆幸逃避了此次“灾难”，但到了周一，请别轻易打开机器和联网，我们将为您提供正确的“开机指南”，避免被感染。

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后，陆续有用户提出问题，我们形成了第二版本FAQ。并对其中一些传言进行了解释。

安天已经针对勒索蠕虫 “魔窟”（WannaCry）陆续发布了全面分析报告、开机指南、和两份FAQ，以及相关的专杀与免疫工具，对已经感染了病毒的用户，安天有如下重要建议。
如果该病毒已经发作，且有重要文件被加密，请用户不要惊慌，马上关机保存好硬盘，找到专业机构或者使用专业工具对硬盘进行数据恢复。尽管被魔窟蠕虫加密过的多数文件，目前依然是没有解密方法的，但有可能用数据恢复的方式找到被魔窟蠕虫删除过的加密前原始文件。注意，此时不要让系统继续运行，更不要在已经染毒的当前系统中运行各种数据恢复工具，因为系统运行时进行的各种写操作，都可能进一步降低文件恢复的成功率。

在安天今天清晨发布报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》后，有大量用户就本次事件提出问题，我们选择了其中的高频问题，形成了本FAQ。我们会继续跟进网友的问题。

鉴于病毒还在全面传播，如暂时无法进行系统处置，内网用户应尽量先断网关机，等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。

安天安全研究与应急处理中心（Antiy CERT）发现，北京时间2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，我国大量行业企业内网遭受大规模感染。截止到5月13日23时，病毒影响范围进一步扩大，包括企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。 经过安天CERT紧急分析，判定该勒索软件是一个名称为“魔窟”（WannaCry）的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织“影子经纪人”（Shadow Brokers）公布的“方程式”组织（Equation Group）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

自2014年起，安天提出了“观点型年报”的自我要求，我们需要有自己的视角、立场和分析预测，我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报，我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据，虽然看上去很美，但其并不具备足够的参考价值；而那种用传输扫描次数来表征威胁严重程度的度量衡，尽管对部分类型的风险依旧有效，但那确实是“蠕虫”和DDoS时代的产物，其掩盖了那些更为严重的、更为隐蔽的威胁。但仅仅有观点型年报这样的意识就足够么？回看此前几年安天自己的年报，在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”这些成语的描述中，真的揭示了威胁的现状和趋势么？

2017年1月31日，Softpedia网站发布了一篇名为《Cryptkeeper Linux Encryption App Fails at Job, Has One Letter Skeleton Key - "P"》的文章，其中提及，CryptKeeper应用在Debian 9中存在一个BUG，会使得用户为加密文件夹设定的密码被替换为单个字符“p”，从而使字符“p”作为解密由其加密的文件夹的通用密码。

对于“方程式组织”，在过去的两年中，安天已经连续发布了三篇分析报告：在《修改硬盘固件的木马——探索方程式（EQUATION）组织的攻击组件》 中，安天对多个模块进行了分析，并对其写入硬盘固件的机理进行了分析验证。；在《方程式（EQUATION）部分组件中的加密技巧分析》报告中，对攻击组件中使用的加密方式实现了破解；在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》报告中，安天独家提供了方程式Linux和Solaris系统的样本分析，这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

安天从2015年2月起，陆续公布了两篇针对方程式攻击组织的分析报告，分析了其针对Windows平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式攻击组织针对Solaris平台和Linux平台的部分样本分析，我们也可以自豪的说，这是业内首次正式证实这些幽灵真实存在的公开分析。